Virusvaroitus

[McMike]

Nyt näkyy "Sven" - niminen sähköpostimato olevan liikkeellä. Viruksen aktivoimiseen ei tarvitse enää avata liitetietostoa vaan mato aktivoituu jo kun klikkaat viestiä, joka on naamioitu tulleeksi Microsoftilta korjauspäivityksen nimellä. Microsoft ei lähetä mitään päivityksiä sahköpostin kautta vaan muita kanavia pitkin. Jos sinulla on käytössäsi Outlook Express ja huomaat Microsoftilta tulleen postia, samalla kun klikkaat postia poistaaksesi sen niin virus aktivoituu samalla kertaa.
Sitten ei auta muu kuin viruksen poistaminen käyttäen virustorjuntaohjelmaa.

 

[Mikko_A]

Tota mulle tuli tänään msn messenger 6.0 mainos postiin microsoftilta. avasin sen..

<small>[ 20-09-2003, 14:00: Message edited by: Mikko_A ]</small>

 

[McMike]

No mites kävi?

 

[Mikko_A]

MItäs tuo virus niinq tekee? mulla ainakaan ei oo mitään tapahtunut

 

[McMike]

Se voi "piiloutua" ja jaella sun sähköposteja ym. tietoja levittää nettiin ympäri maailmaa. Onko sulla mitään virusohjelmaa. Jos ei niin huonompi juttu. Jos on niin tee skannaus ja poista viruksen saastuttama tiedosto. Esim WWW.f-secure.fi -sivulta saa ilmaisen perus torjuntaohjelman. HUOM! Tähän virukseen ei tehoa Ad-Aware eikä SpyBot.

 

[McMike]

Exploit.IFrame.File Download oli sen nimi mulla tossa f-securen torjuntaohjelmassa. Tunnetaan maailmalla myös Sven-nimisenä matona

 

[Mikko_A]

Mullon mcafee virusscanneri ja palomuuri, latasin just uusimmat päivitykset. Eipä oo vielä tunnistanut ainakaan kun se tuossa scanneroi

editti:
Mitään ei löytynyt

<small>[ 20-09-2003, 14:30: Message edited by: Mikko_A ]</small>

 

[Wilpuri]

Ja jotta ei turhaa hysteriaa leviäisi, niin mainittakoon, että tuo virus ei leviä sähköpostin avulla automaattisesti joka ikiseen järjestelmään.

Mikäli http://www.microsoft.com/technet/security/bulletin/MS01-020.asp on ajettu, niin tuolta virukselta lienee ollaan turvassa. IE 5.01 SP2 :ssa ja IE 5.5 SP2:ssa ei tuota aukkoa enää ole.

Myös hieman edellistä uudempi päivitys http://www.microsoft.com/technet/security/bulletin/MS01-027.asp sisältää korjauksen tälle ongelmalle.

Tuo ylläoleva siis liittyi sähköpostiviestin välityksellä leviämiseen.

Virus voi levitä myös Kazaa-tiedostonjako-ohjelman välityksellä, sekä ircissä mikäli saastuneen koneen käyttäjä käyttää mIRC-ohjelmaa. Näiden leviämismenetelmien kanssa ei tuolla Microsoftin päivityksellä ole mitään tekemistä.

lähteitä:
http://www.symantec.com/avcenter/venc/data/w32.swen.a@mm.html

http://www.f-secure.com/v-descs/swen.shtml

<small>[ 20-09-2003, 14:30: Message edited by: Wilpuri ]</small>

 

[E. Tuhero]

Mikko_A:
MItäs tuo virus niinq tekee? mulla ainakaan ei oo mitään tapahtunut

Mitä tuossa nopeasti noita sivuja luin(kuten varmaan itsekin teit) niin eikös tuo kuitenkin ilmoita itsestään aika selkeäsi noilla feikki-ikkunoilla yms, eli jos aukaisit mailin eikä mitään tapahtunut, ei kyse varmaan ollut tuosta.
(Ja tosiaan jos ei scannerikaan mitään löytänyt niin elä huoli.)

Tietääkös kukaan voiko tuo virus viestin klikkaamisen jälkeen aktivoitua ja tehdä tuhojaan täysin piilossa, vai tuleeko aina nuo jossain linkissä olleet "asennus-ikkunat"?

 

[Wilpuri]

Mikko_A:
Tota mulle tuli tänään msn messenger 6.0 mainos postiin microsoftilta. avasin sen..

Ei tuntuisi sopivan tuon viruksen tunnusmerkkeihin. Swen-viruksen sisältävä maili ei käsittele MSN Messenger 6.0 -ohjelmaa.

Kyseessä lienee normaali MS:n mainosmaili koskien tuota uusinta msn messenger -versiota.

 

[McMike]

No nyt taas toimii laitteet. Tuosta viruksesta sen verran. että minulle tuli sähköpostitse viestejä, jotka avasin. Outlook ei osaa poistaa viestejä ennen kuin viestiä klikataan. Siinä vaiheesa virus aktivoituu ja sitä rataa,,,. Mulle kävi niin lauantai-iltana ja eipä auttanut virustorjunnat eikä mikään muu kuin levyn formatointi. Sitten vaan uusi järjestelmän asennus ja päivitykset+ohjelmat sisään. Nyt onpi sitten Soneralta myös palomuuriohjelma + ADSL modeemi jossa NAT toiminnassa. Jos vielä tulee niin sitte menee hermo

 

[Kortteen Topi]

Paljon melua tyhjästä.

 

[McMike]

Paljon melua tyhjästä.

Oletkos koskaan "askarrellut" tietokonevirusten kanssa. Mulla on nyt kaksi kertaa ollut virus koneessa, se on todella turhauttavaa. Eivätkä olleet mitään huijausvaroituksia vaan ehtivät tehdä tuhojaan. Kun virustutka ei osaa niitä poistaa, niin ainoa keino on levyn formatointi ja järjestelmän ja ohjelmien uudelleen asennus.

 

[Kortteen Topi]

McMike:

Paljon melua tyhjästä.

Oletkos koskaan "askarrellut" tietokonevirusten kanssa. Mulla on nyt kaksi kertaa ollut virus koneessa, se on todella turhauttavaa. Eivätkä olleet mitään huijausvaroituksia vaan ehtivät tehdä tuhojaan. Kun virustutka ei osaa niitä poistaa, niin ainoa keino on levyn formatointi ja järjestelmän ja ohjelmien uudelleen asennus.

En tarkoittanut etteikö viruksista olisi haittaa. Tämä Swen -virus on vaan saanut ihan liikaa julkisuutta vaarallisuuteensa nähden. F-Secure maalailee piruja seinälle.

Jos virustutka ei osaa virusta poistaa niin on syytä vaihtaa ohjelmaa.

<small>[ 24-09-2003, 06:19: Message edited by: Kortteen Topi ]</small>

 

[Wilpuri]

McMike:
No nyt taas toimii laitteet. Tuosta viruksesta sen verran. että minulle tuli sähköpostitse viestejä, jotka avasin. Outlook ei osaa poistaa viestejä ennen kuin viestiä klikataan. Siinä vaiheesa virus aktivoituu ja sitä rataa,,,. Mulle kävi niin lauantai-iltana ja eipä auttanut virustorjunnat eikä mikään muu kuin levyn formatointi. Sitten vaan uusi järjestelmän asennus ja päivitykset+ohjelmat sisään. Nyt onpi sitten Soneralta myös palomuuriohjelma + ADSL modeemi jossa NAT toiminnassa. Jos vielä tulee niin sitte menee hermo </strong>

Virustorjunta ei auta juu mikäli virus leviää sen verran nopeasti, että virustutkille ei ole tullut vielä päivitystä (saati sitten että käyttäjät olisivat tutkansa kyseisen viruksen suhteen ajan tasalle päivittäneet).

Se, että ei mikään muukaan olisi auttanut, on kyllä potaskaa. Nuo pari vuotta sitten julkaistut Microsoftin päivitykset nimittäin tuon viruksen hyödyntämän haavoittuneisuuden kyllä poistavat.

 

[Dominic]

En nyt jaksanut enempää noihin linkkeihin tutustua. Mulla on päivitetyt softat, joten tämä ei availe itsestään mitään.

Tällainen maili tuli:

Return-Path: <juha-pekka.kiviniitty@kiviniityn-auto.fi>
Received: from fep06.tmt.tele.fi (hank-fep6-0.inet.fi [194.251.242.201])
by harppi.kpo.fi (8.12.10/8.12.10) with ESMTP id h8PEKLWW007463;
Thu, 25 Sep 2003 17:20:22 +0300 (EET DST)
Received: from xxzuidsk ([194.197.224.139]) by fep06.tmt.tele.fi
(InterMail vM.5.01.03.13 201-253-122-118-113-20010918) with SMTP
id <20030925142011.CAKZ29875.fep06.tmt.tele.fi@xxzuidsk>;
Thu, 25 Sep 2003 17:20:11 +0300
FROM: "MS Security Assistance" <oxfxfe_mbohuncb@advisor.msn.net>
TO: "MS Partner" <>
SUBJECT: Newest Upgrade
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="lceyqgdsevexq"
Message-Id: <20030925142011.CAKZ29875.fep06.tmt.tele.fi@xxzuidsk>
Date: Thu, 25 Sep 2003 17:20:17 +0300

Ilmeisestikyseessä on juuri tämä Swen. Joku asennustiedosto tuossa tulee mukana ja ohjeistus ko. tiedoston asennukseen.

 

[McMike]

Ei tuo ainakaan Sweniltä näytä. Mulle tuli äsken e-meiliä

Exploit.IFrame.File Download

Samalla kun aukasin sähköpostin niin virusskanneri reagoi ja ilmoitti viruksesta. Sitten vaan poisto ja homma sitä myöten kunnossa. Ko. postissa tulevaa exe-tiedostoa ei kannata missään tapauksessa avata, sieltä saa tutustua Sweniin ja tiedosto asentuu välittömästi koneelle jos sen avaa

 

[Kortteen Topi]

Dominic:
En nyt jaksanut enempää noihin linkkeihin tutustua. Mulla on päivitetyt softat, joten tämä ei availe itsestään mitään.

Tällainen maili tuli:

Return-Path: <juha-pekka.kiviniitty@kiviniityn-auto.fi>
Received: from fep06.tmt.tele.fi (hank-fep6-0.inet.fi [194.251.242.201])
by harppi.kpo.fi (8.12.10/8.12.10) with ESMTP id h8PEKLWW007463;
Thu, 25 Sep 2003 17:20:22 +0300 (EET DST)
Received: from xxzuidsk ([194.197.224.139]) by fep06.tmt.tele.fi
(InterMail vM.5.01.03.13 201-253-122-118-113-20010918) with SMTP
id <20030925142011.CAKZ29875.fep06.tmt.tele.fi@xxzuidsk>;
Thu, 25 Sep 2003 17:20:11 +0300
FROM: "MS Security Assistance" <oxfxfe_mbohuncb@advisor.msn.net>
TO: "MS Partner" <>
SUBJECT: Newest Upgrade
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="lceyqgdsevexq"
Message-Id: <20030925142011.CAKZ29875.fep06.tmt.tele.fi@xxzuidsk>
Date: Thu, 25 Sep 2003 17:20:17 +0300

Ilmeisestikyseessä on juuri tämä Swen. Joku asennustiedosto tuossa tulee mukana ja ohjeistus ko. tiedoston asennukseen.

Swen se on. Roskiin vaan. Virustorjunta ei välttämättä tunnista tuota "lennosta".

 

[McMike]

Swenihän se. Joo ei tunnista virustorjunta vaikka hakee automaattisesti päivitykset. Minulle tuli tuo aikaisemmin mainitsemani Exploit.IFrame.FileDownload- viesti sähköpostiini ja klikkasin sitä tietenki poistamista varten, niin siinähän se siten.
Sain sen kuitenkin pois koneelta. Tuli liitteenä exe- tiedosto jonka takana on swen

 

[Eliel]

Outlookista (ekspress tai tav.) kun otat viestien esikatselun poies niin ei ole pelkoa että laukeaa noi heti kun klikkaa otsikkoja. Voipi rauhassa poistella availematta viesejä.